黑客利用Aiohttp漏洞查找易受攻击的网络

Aiohttp 是构建于 Python I/O 框架 Asyncio 之上的开源库，用于处理无需基于传统线程网络的大量并发HTTP请求。技术企业、web开发人员、后台工程师和数据科学家通过使用它来构建高性能的从多款外部API聚合数据的 web 应用和服务。

2024年1月28日，aiohttp 3.9.2版本发布，修复了高危路径遍历漏洞CVE-2024-23334。该漏洞影响 aiohttp 3.9.1及更老版本，可导致未认证远程攻击者访问易受攻击服务器上的文件。该漏洞产生的原因在于当 “follow_symlinks” 的静态路由设置为 “True” 时候验证不当，可导致对服务器静态root目录外部的文件进行越权访问。

2024年2月27日，研究员发布该漏洞的 PoC 利用。Cyble 公司的威胁分析人员报道称，他们的扫描器已经发现有人从2月29日开始展开利用尝试且这一趋势有所增加，一直持续到3月份。扫描尝试源自五个IP地址，其中一个是由 Group-IB 在2023年9月份发出的报告中标记，后者将其归咎于 ShadowSyndicate 勒索团伙。

ShadowSyndicate 是投机性质的、受经济利益驱动的威胁行动者，活跃于2022年7月，与多家勒索团伙有关，如 Quantum、Nokoyawa、BlackCat、ALPHV、Clop、Royal、Cactus 和 Play。

Group-IB 公司认为ShadowSyndicate与多起勒索活动有关。虽然 Cyble 公司的研究结果并不肯定，但说明该勒索团伙正在使用易受攻击的 aiohttp 库尝试扫描服务器。这些扫描活动是否已转化为攻陷活动尚不清楚。

鉴于该攻击面，Cyble 公司的互联网扫描器ODIN表明全球共有约44170个被暴露在互联网上的 aiohttp 实例，多数位于美国 (15.8%)，其次是德国 (8%)、西班牙 (5.7%)、英国、意大利、法国、俄罗斯。这些实例所运行的版本无法识别，因此很难判断易受攻击 aiohttp 服务器的数量。

遗憾的是，由于多种实践问题加剧了定位和打补丁的复杂性，开源库通常用于过时版本中。这就使得开源库更加易受攻击，即使在安全更新已推出数年时间的情况下，仍然被用于攻击活动中。